FORMATO INFORME DE AUDITORIA

Transcripción

1 20/02/23 1. INFORMACIÓN BASICA AUDITORIA CÓDIGO DE AUDITORÍA: FECHA DE INFORME: 12/12/24 TIPO DE AUDITORÍA: PROCESO / DEPENDENCIA AUDITADA: Gestión Gestión Tecnológica y de la Información FECHA DE AUDITORÍA: 06/11/24 al 04/12/24 AUDITORES: Giovanni González Z. - Líder Gigliola Montañez M. - Apoyo 2. OBJETIVO DE LA AUDITORÍA Verificar la eficiencia, eficacia y efectividad de las tareas y procedimientos adelantados por la Oficina de Tecnologías de Información a fin de generar recomendaciones que se encaminen al mejoramiento continuo de los procedimientos desarrollados por la misma. 3. ALCANCE DE LA AUDITORÍA Se concentra en la gestión adelantada por la Oficina de Tecnologías de Información durante el período comprendido entre el 1 de julio de 23 y el 31 de octubre de CRITERIOS DE LA AUDITORÍA Ley 1712 de 24 Decreto 4138 de 21 Decretos 4110 de 2004 y 4485 de NTCGP 1000:2009 Decreto 1599 de 2005 MECI Resolución interna número 0043 de 24 MANUAL DEL SGSI NTC-ISO/IEC Modelo de Seguridad de la Información para la estrategia de Gobierno en Línea 5. DESARROLLO DE LA AUDITORÍA Oficina de Tecnologías de la Información - Organización Interna De acuerdo con lo señalado en el decreto 4138 de 21, la Oficina de Tecnologías de la Información hace parte integral de la estructura orgánica de la Agencia Colombiana para la Reintegración de Personas y Grupos Alzados en Armas, la cual depende directamente del Despacho del Director General. Así las cosas, en el mismo decreto, específicamente en su artículo 13, se definieron las funciones a la mencionada Oficina, como se citan a continuación: Página 1 de 33

2 20/02/23 ARTÍCULO 13. Oficina de Tecnologías de la Información. La Oficina de Tecnologías de la Información cumplirá las siguientes funciones: 1. Proponer al Director General estrategias, políticas y estándares para optimizar el uso y aprovechamiento de la tecnología, la información y las comunicaciones de datos. 2. Asistir al Director General en la formulación, implementación, seguimiento y evaluación del plan estratégico informático en concordancia con las políticas y directrices del Ministerio de Tecnologías de la Información y las Comunicaciones. 3. Promover el desarrollo tecnológico mediante el uso de las mejores prácticas que propendan por el mejoramiento continuo de los procesos institucionales. 4. Diseñar, desarrollar y administrar el Sistema de Información para la Reintegración (SIR) y articularlo con los sistemas necesarios para el adecuado funcionamiento de la entidad. 5. Generar estrategias para la adecuada atención de necesidades de soporte de los usuarios finales de los aplicativos informáticos. 6. Implementar las acciones necesarias para propender por la seguridad de la información existente en los sistemas de información de la entidad. 7. Investigar, promover y divulgar el uso de nuevas tecnologías para mejorar la gestión de la entidad. 8. Apoyar técnicamente la implementación y sostenibilidad del Sistema de Gestión Institucional y sus componentes. 9. Atender las peticiones y consultas relacionadas con asuntos de su competencia. 10. Las demás funciones asignadas que correspondan a la naturaleza de la dependencia. Adicionalmente a lo anterior, se crearon mediante la resolución 0043 de 24, dos grupos internos de trabajo denominados como Grupo de Sistemas de la Información y Grupo de Infraestructura y soporte, los cuales están destinados a cumplir las funciones que se relacionan a continuación: Artículo 9.- Grupo de Sistemas de la información.- El grupo de Sistemas de la Información cumplirá las siguientes funciones: 1. Proponer, diseñar e implementar estrategias y proyectos que adopten y actualicen los sistemas de información, involucrando nuevas tecnologías y la aplicación de nuevas prácticas para beneficio de la entidad. 2. Generar estrategias para la adecuada atención a requerimientos y nuevos desarrollos para los usuarios finales de los SI, garantizando el seguimiento y control a dichos requerimientos. 3. Administrar y actualizar el portal web diseñado para la consulta de reportes y del sistema de información misional SIR, de manera que esté permanente actualizado para sus usuarios. 4. Gestionar a través del sistema de información misional, los medios y mecanismos que permitan el ingreso y consulta de información necesaria para la toma de decisiones a todo nivel. 5. Coordinar con el grupo de infraestructura y soporte, la atención al usuario y los medios y mecanismos que requieran los sistemas de información, para operar de manera adecuada a nivel de infraestructura y comunicaciones 6. Coordinar y controlar de manera adecuada la gestión con terceros, para que se cumplan los objetivos trazados en los procesos de contratación que se adelanten con ocasión de las funciones propias de su grupo. 7. Propender porque el sistema de Información misional responda a requerimientos de intercambio de información con entidades externas, sin vulnerar la seguridad e integridad de la información. 8. Propender por la integridad de los datos ingresados a los sistemas de información, generando alertas a las áreas responsables para que realicen actividades de depuración, capacitación y actualización de datos según sea la necesidad. Página 2 de 33

3 20/02/23 9. Coordinar la elaboración de las estadísticas e indicadores de cada uno de los servicios prestados por el grupo, hacer evaluación, seguimiento, recomendaciones y presentar informes de gestión. 10. Propender por la continuidad, funcionamiento y disponibilidad de los sistemas de información de la entidad. 11. Velar por la aplicación de políticas de seguridad, integridad y acceso a la información sistematizada de la entidad. 12. Realizar la capacitación y actualización de los colaboradores de la entidad en el manejo de los sistemas de información. 13. Apoyar técnicamente la implementación y sostenibilidad del Sistema de Gestión Institucional y sus componentes. 14. Participar en la formulación e implementación de la planeación y atender los requerimientos del seguimiento a la gestión de la entidad en coordinación con la Oficina Asesora de Planeación. 15. Atender las peticiones, quejas, reclamos, sugerencias y denuncias relacionadas con asuntos de su competencia 16. Las demás funciones asignadas que correspondan a la naturaleza de la dependencia. Artículo 10.- Grupo de Infraestructura y Soporte.- El grupo de Infraestructura y soporte cumplirá las siguientes funciones: 1. Proponer y gestionar la formulación, implementación y seguimiento del plan de acción, en lo relacionado con la infraestructura y soporte tecnológico de la entidad. 2. Investigar, evaluar y proponer la aplicación de mejores prácticas y nuevas soluciones informáticas, en los temas de infraestructura y soporte. 3. Generar estrategias para la adecuada atención de necesidades de soporte de los usuarios finales de los aplicativos informáticos. 4. Investigar, promover y divulgar el uso de nuevas tecnologías para mejorar la gestión de la entidad. 5. Coordinar la elaboración de las estadísticas e indicadores de cada uno de los servicios prestados por el grupo, hacer evaluación, seguimiento, recomendaciones y presentar informes de gestión. 6. Propender porque se garantice la conectividad necesaria para interconectar las sedes de la entidad. 7. Coordinar las acciones para mantener actualizados y en funcionamiento los sistemas y su operación que permiten los servicios del DNS, Directorio activo, DCHP, el correo electrónico, acceso a internet, entre otros. 8. Velar por la aplicación de las políticas de seguridad, integridad y acceso a la información sistematizada de la entidad. 9. Garantizar la correcta ejecución y mantenimiento de todas las bases de datos y de los servidores dónde se ejecuten. 10. Definir y supervisar los programas de mantenimiento y soporte técnico para garantizar la operación y disponibilidad de la infraestructura de energía eléctrica regulada, redes, equipos y servidores de datos y servicios de telecomunicaciones de datos. 11. Garantizar, de acuerdo con las necesidades, la existencia de planes de contingencia que aseguren la disponibilidad de la infraestructura tecnológica de la entidad, la información y los servicios a cargo del grupo. 12. Realizar acciones para mantener el funcionamiento de la infraestructura requerida por el Sistema de Información para la Reintegración. 13. Apoyar técnicamente la implementación y sostenibilidad del Sistema de Gestión Institucional y sus componentes. 14. Participar en la formulación e implementación de la planeación y atender los requerimientos del seguimiento a la gestión de la entidad, en coordinación con la Oficina Asesora de Planeación. 15. Atender las peticiones, quejas, reclamos, sugerencias y denuncias relacionadas con asuntos de su competencia. 16. Las demás funciones asignadas que correspondan a la naturaleza de la dependencia. Página 3 de 33

4 20/02/23 Frente a lo expuesto anteriormente, se observa la alineación de las funciones definidas para los grupos internos trabajo, con las funciones establecidas a la Oficina de Tecnologías de la Información en el decreto de creación de la entidad. De otra parte, se constató la asignación de 26 empleos 1 de la planta de personal a la Oficina de Tecnologías de la Información de los cuales 25 se encuentran provistos y uno está vacante. Para mayor detalle ver el siguiente cuadro resumen: Empleo Remuneración Básica Cantidad Mensual 2 37 Jefe de Oficina Grado , Profesional Especializado , Profesional Especializado , Profesional Especializado , Profesional Especializado , Profesional Universitario , Técnico Administrativo , Técnico Administrativo ,00 Totales ,00 Fuente Oficina de Tecnologías de la Información Dichos empleos están distribuidos en la Oficina objeto de auditoría, como se muestra en el diagrama a continuación: 1 Resoluciones 344 y 236 de 23 2 Decreto 199 de 24 Página 4 de 33

5 20/02/23 Jefe Oficina (Grado 20) Asistente TA (11) Sistemas de Información PE (24) Infraestructura y Soporte PE (24) Implementación, diseño, desarrollo, pruebas, monitoreo PE (21) Administrador de Servidores PE (21) Implementar, monitorear, diseñar, desarrollar y puesta en producción PE (19) 8 Administrador Plataforma de Seguridad PE (21) Desarrollo e implementación mejoramiento de soluciones PU (11) 2 Administrador Base de datos DBA PE (19) Diseñador Gráfico TA (17) 1 Soporte Técnico Políticas, Inventarios Sistema de Gestión PE(13)2 Administrador Backup - Soporte segundo nivel - PU (11) 1 Soporte Nivel II TA (17) 3 Fuente Oficina de Tecnologías de la Información Analizados los roles de los empleos asignados a la OTI y presentados en el gráfico anterior, se observó la alineación de los mismos con los propósitos y funciones esenciales de los empleos, establecidos en el manual específico de funciones y de competencias laborales de la Agencia Colombiana para la Reintegración de Personas y Grupos Alzados en Armas. Plan estratégico informático Soporte Nivel I TA (11) 2 Página 5 de 33

6 20/02/23 De acuerdo con la información suministrada por la Oficina de Tecnologías de la Información - OTI, la entidad cuenta con un plan estratégico informático denominado como Documento Plan Estratégico Oficina de Tecnologías de la Información PETIT ACR 22 24, versión 2.0 de diciembre de 23 Se observa en dicho documento un marco de trabajo que busca alinearse con el plan estratégico de la entidad, atendiendo los lineamientos establecidos por la alta dirección, relacionados a continuación: Independización Administrativa y Tecnológica del DAPRE Depuración y limpieza de datos de la base de datos del SIR Fortalecimiento de la seguridad de la información de los desmovilizados Disminución del tiempo para el desembolso del subsidio a la reintegración Más y mejores herramientas para la gestión institucional Intercambio de información, en el tiempo real, con otras Entidades para el seguimiento y control de la población desmovilizada en el marco del proceso de reintegración. En lo que tiene que ver con el avance, la responsable del proceso Gestión Tecnológica y de la información, comunicó que el estado de avance de acuerdo con las actividades establecidas en el plan, lleva un porcentaje de cumplimiento del 85%, quedando pendiente el 15% restante debido a los ajustes naturales, dado el crecimiento y nuevos lineamientos de la entidad, respecto de políticas y/o componentes misionales. Frente al documento, se observan algunos apartes desactualizados, relacionados con el marco normativo de la entidad, plan estratégico, mapa de procesos, así como de aquellos lineamientos que han afectado el rumbo de los proyectos de la Oficina de Tecnologías de la Información, omitiendo lo señalado en los literales b y d del numeral 4.2.3, de la NTCGP 1000:2009, decretos 4110 de 2004 y 4485 de El pasado mes de junio el Ministerio de Tecnologías de la Información y las Comunicaciones MinTIC, socializó el marco de referencia de la gestión de tecnologías de la información, incluyendo lineamientos para la elaboración del plan estratégico de tecnologías de la información, en tal sentido, se sugiere tenerlos en cuenta para la actualización del PETI de la entidad. Planeación de Necesidades Tecnológicas Frente a la planeación de las necesidades tecnológicas en la entidad, durante el proceso auditor se observó la delimitación del alcance de la responsabilidad por parte de la OTI, estableciendo que dentro de la misma, por disposición de la Secretaría General de la entidad, no se incluye la adquisición de sistemas de información para otras áreas, de acuerdo con lo informado mediante memorando MEM /JMSC , como se señala a continuación: Finalmente, en reunión sostenida con el Secretario General, la Subdirectora Administrativa y Financiera, la Coordinadora del Grupo de Talento Humano, el 12 de diciembre de 22, se concluyó que para la vigencia 23, los Sistemas de Información requeridos por las áreas en general, incluidas las correspondientes a la Secretaría General deberán ser tramitados por las mismas, con apoyo de la Oficina de Tecnologías de la Información. En lo relacionado con el apoyo que brinda, la OTI participa en el proceso de elaboración de estudios previos, en lo relativo a la parte técnica: esto es licenciamiento y compatibilidad con la plataforma e infraestructura de la ACR. Página 6 de 33

7 20/02/23 Es de aclarar que para la adquisición de sistemas de información, se contempla contractualmente, el mantenimiento, actualizaciones, soporte y entrenamiento técnico y funcional, de acuerdo con lo manifestado por la OTI durante le ejecución de la auditoría. Por otra parte, la Oficina de Tecnologías de la Información, menciona que el responsable para la planeación de necesidades tecnológicas, diferentes a las relacionadas con la adquisición de sistemas de información, es el Coordinador de Infraestructura y Soporte, y la responsable de aprobar tales necesidades es la Jefe de la OTI. Teniendo en cuenta lo expuesto se concluye, que no se evidenció la existencia de políticas, lineamientos, ni un procedimiento documentado que permita determinar claramente un hilo conductor de las actividades que se realizan para la planeación de las necesidades tecnológicas, su priorización, aprobación y los responsables, a fin de controlar la inversión de Tecnologías de la Información en la entidad, por cuanto se observó la delimitación del alcance de la responsabilidad por parte de la OTI, estableciendo que dentro de la misma, por disposición de la Secretaría General de la entidad, no se incluye la adquisición de sistemas de información para otras áreas. Al respecto de lo anterior, es relevante tener en cuenta lo señalado en el Modelo estándar de control interno MECI, frente a la autorregulación, la cual es definida como la capacidad de cada una de las organizaciones para desarrollar y aplicar en su interior métodos, normas y procedimientos que permitan el desarrollo, implementación y fortalecimiento continuo del Sistema de Control Interno, en concordancia con la normatividad vigente. Soporte - Mesa de ayuda La ACR con el fin de prestar entre otras, la adecuada atención de necesidades de soporte a los usuarios finales, suscribió el contrato interadministrativo número 799 de 23, con la Empresa de Telecomunicaciones de Bucaramanga S.A. E.S.P. TELEBUCARAMANTA, el cual tiene por objeto: Contratar los servicios de alojamiento de infraestructura (Collocation), conectividad para los centros de servicio a nivel nacional, telefonía IP, APN, Red Wifi y mesa de ayuda, de conformidad con las especificaciones y características técnicas señaladas en el Anexo Técnico del presente documento, para la Agencia Colombiana para la Reintegración de Personas y Grupos Alzados en Armas ACR, de conformidad con las especificaciones y características técnicas señaladas en el anexo técnico y en la propuesta presentada, documentos que forman parte integral del presente contrato. El mencionado anexo técnico establece en su numeral 1.7, denominado como Servicio de Diagnóstico, Formulación, Despliegue y Operación de un Modelo de Servicio basado en las mejores prácticas de ITIL V3, entre otros las generalidades, objetivos específicos, actividades, y funciones de soporte en sitio, del modelo de servicios. En tal sentido, la Oficina de Tecnologías de la Información, comunicó lo siguiente: La gestión del servicio prestado se está realizando por fases, implementando un modelo basado en las mejores prácticas ITIL v3 e ISO Se realizó el levantamiento, definición y aprobación de los procesos de gestión base para empezar la operación: Página 7 de 33

8 20/02/23 Proceso de Gestión de Eventos: Monitoreo de los sucesos inesperados de la operación que se producen en cada componente de la infraestructura para anticiparse así a posibles interrupciones en la operación, filtrarlas, resolverlas y prevenir las posibles fallas futuras, garantizando la disponibilidad y continuidad del servicio prestado. Proceso de Gestión de Incidentes: Garantizar la restauración de los servicios prestados y estipulados para el negocio de la ACR en el menor tiempo posible, dentro de los ANS estipulados. Proceso de Gestión de Requerimientos: Recibir, revisar, y cualificar los requerimientos del servicio prestado, completarlos y asignarlos para su cumplimiento y monitorearlos hasta que sean completados a satisfacción del solicitante de acuerdo al alcance establecido. Proceso de Gestión de Cambios: Garantizar un estricto control sobre las adiciones, modificaciones o mejoras que se incorporen a la infraestructura. Realizar el análisis, evaluación y planificación de los cambios que se incorporen al entorno integral para que estos se ejecuten de una forma altamente estructurada y articulada, contribuyendo así a la mejora de los servicios existentes con el fin de certificar que se ejecuten de una forma eficiente bajo un estándar que asegure la calidad y continuidad del servicio prestado. Proceso de Gestión de Problemas: Cubre todas las incidencias menores que sean repetitivas, todas aquellas incidencias Mayores que impacten la operación de la ACR y de las cuales no se tengan una Causa Raíz conocida. Así mismo, cubre aquellos eventos que proactivamente se detecten en la infraestructura tecnológica a partir del monitoreo de servicios. Proceso de Gestión de Configuración y Activos del Servicio: Controlar y gestionar cada uno de los Elementos o Ítems de Configuración tanto físicos como lógicos que componen los servicios prestados a la ACR, sus interacciones, dependencias y relaciones entre sí por medio de la Base de Datos de Configuración. Proceso de Gestión de Conocimiento: Compartir y divulgar el conocimiento, las experiencias y lecciones aprendidas, con el fin de transmitir el saber acumulado día a día tanto en la operación como en el desarrollo y nuevos descubrimientos. Este conocimiento relacionado a la infraestructura que soporta la operación del servicio, el soporte, la solución de los posibles errores conocidos. Actualmente en la mesa de ayuda están implementados y en proceso de afinación y mejora continua en la herramienta de gestión HP Service Manager v 9.3, los procesos de gestión de incidentes y requerimientos; el modelo de atención está basado en ser el único punto de contacto y registro para la tipificación, asignación, gestión y solución de las solicitudes recibidas. Al respecto de lo anterior, se logró evidenciar la existencia del documento Manual del proceso Gestión de Cambios, versión 1.0: Este documento tiene por objeto describir de manera detallada cada una de las actividades que conforman el proceso de Gestión de cambios a la infraestructura de TI en concordancia con la política de seguridad de la información, definida en el manual de la política (4.2. Asignación de roles y responsabilidades), siguiendo los lineamientos técnicos y administrativos. Mostrar, en un esquema gráfico de flujo, los pasos, responsabilidades y productos del proceso de Gestión de cambios a la Infraestructura de Ti. Frente a dicho documento se pudo observar: - Es un formato preliminar al documento - La definición de un historial de versionamiento que cuenta con diez modificaciones, pero para ninguna se ha definido la versión. - Cuenta con la definición de objetivos, alcance, políticas y requisitos, metodología, registros y formatos del proceso, roles y responsabilidades, proceso, indicadores de desempeño, matriz de responsabilidades y un anexo con la creación de mapas de servicio, los cuales, para algunos casos se encuentran pendientes por completar. - En cuanto a los pasos a seguir para realizar el requerimiento, se determina que si un requerimiento es un cambio estándar (Creación, modificación, y eliminación de cuentas y/o contraseñas: Correo Página 8 de 33

9 20/02/23 electrónico, Directorio activo, VPN, Sistema Misional SIR, actualización aplicación) debe hacerse la solicitud a la mesa de ayuda de la Oficina de Tecnologías de la Información remitiendo un correo a: SoporteACR@acr.gov.co donde se aplicará el proceso respectivo (Formato Solicitud de Usuario o Recursos Tecnológicos). De otra parte, una de las disposiciones señaladas en el numeral 5.2 Políticas de seguridad de recursos humanos, del manual del SGSI V1, publicado en el SIGER, cita: Una vez un colaborador deja de desempeñar funciones o prestar servicios el Grupo de Talento Humano deberá reportar a la Oficina de Tecnologías de la Información para que los derechos de acceso otorgados sean retirados de forma inmediata. Ahora bien, la Oficina de Tecnologías de la Información, comunicó la existencia de una Política de Gestión de Activos (1.2.4 Del Uso de los Sistemas de Información, párrafos 7 y 8), que cita: "Procedimiento, una vez la oficina de tecnologías de la información es informada través del procedimiento de soporte a usuarios publicado en el SIGER por parte de un Jefe de Área, Coordinador o líder de centro de servicios se procede a otorgar, modificar o retirar los permisos de acceso en los sistemas de información." Presentado lo anterior, se puede determinar que el documento suministrado es una versión preliminar, el cual carece de una alineación con otros documentos aprobados en la entidad, como por ejemplo la política de gestión de activos, incumpliendo el numeral de la NTCGP 1000:2009. En cuanto a los demás procesos documentados y proporcionados, relacionados con Gestión de Eventos, Gestión de Requerimientos, Gestión de cambios, Gestión de incidentes y Gestión de Problemas, cuentan con fechas de versionamiento anteriores a la fecha del contrato interadministrativo 799 del 31 de octubre de 23, y hacen referencia a un contrato anterior con Telebucarmanga. Al respecto y teniendo en cuenta que tres de los objetivos establecidos en el numeral 1.7, denominado como Servicio de Diagnóstico, Formulación, Despliegue y Operación de un Modelo de Servicio basado en las mejores prácticas de ITIL V3, del anexo técnico del contrato 799 son: - Realizar un diagnóstico de la situación actual de la Entidad en materia de mesa de ayuda y monitoreo de plataformas, diseñar el modelo de la misma y establecer el plan de acción que permita implementar dicho modelo - Implementar el modelo de mesa de ayuda y monitoreo de servicios de la entidad. - Generar los documentos necesarios para que los funcionarios y terceros de la Oficina de Tecnologías de la información administren y soporten adecuadamente el modelo propuesto y los mecanismos implementados. Es preciso realizar la gestión necesaria para actualizar los documentos mencionados, en cumplimiento de los objetivos trazados para la implementación del modelo de mesa de ayuda. No obstante lo anterior, es relevante mencionar que la Oficina de Tecnologías de la Información comunicó que el plan de implementación se compone de las siguientes actividades de dominio: Dominio Fecha Estimada de Ingreso Gestión de Problemas Enero de 25 Página 9 de 33

10 20/02/23 Gestión de Eventos Abril de 25 Gestión de catalogo de servicios Junio de 25 Gestión de Configuración Octubre de 25 De otra parte, en cuanto a la atención de la mesa de ayuda, esta es soportada por personal de Telebucaramanga así: cinco personas para la atención telefónica y tres personas para la atención personalizada, específicamente en la sede central de la Agencia. Para los grupos territoriales, se cuenta con enlaces tecnológicos o asistentes de información (funcionarios o contratistas de la ACR), que realizan un acompañamiento tecnológico, quienes dependen directamente del coordinador del grupo territorial. Al respecto, se evidenció el riesgo en la efectiva prestación del servicio por parte de los grupos territoriales, en situaciones tales como vacaciones, licencias y permisos concedidos a los profesionales que prestan el soporte tecnológico, toda vez que no existe coordinación entre las diferentes áreas pertenecientes a los procesos de apoyo, para identificar y desarrollar las estratégicas necesarias encaminadas a tratar eventos de fallas tecnológicas de mayor impacto. Es pertinente, de conformidad con lo establecido en el MECI, evaluar y gestionar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de los objetivos institucionales. Sistema de Información para la Reintegración -SIR De acuerdo con la información publicada en el portal del SIR de la entidad, el SIR es el Sistema de Información para la Reintegración 3 de la Agencia Colombiana para la Reintegración (ACR), que apoya a la entidad en la administración, prestación de servicios, control y seguimiento del proceso de reintegración de los beneficiarios. Su objetivo es apoyar los objetivos estratégicos de la ACR, brindándole al programa de reintegración la información relacionada con el Proceso de Reintegración de manera oportuna, veraz y confiable, constituyéndose éste en un referente básico, estadístico, cualitativo y cuantitativo para los aspectos administrativos, presupuestales, de control, seguimiento, reportes ante las autoridades, la ciudadanía en general y divulgación ante la comunidad internacional. Al respecto de la documentación técnica del SIR publicada en el portal, durante el proceso auditor, se logró establecer que la documentación se encuentra desactualizada, incumpliendo la función establecida en el numeral 3 del artículo 9 de la resolución interna número 0043 de 24, que señala: Administrar y actualizar el portal web diseñado para la consulta de reportes y del sistema de información misional SIR, de manera que esté permanente actualizado para sus usuarios. En cuanto a la demás documentación, actualmente se están haciendo actividades de depuración de la documentación funcional, no obstante no se cuenta con un plan de trabajo que permita determinar los avances obtenidos. Es pertinente, mencionar que en el portal de SIR, se observó que algunos documentos se encuentran señalados como versión aprobada o en verificación. Por otra parte, se realizó un análisis a la información de requerimientos que reposa en la herramienta de soporte Service Manager, correspondiente al período comprendido entre el 1 de enero al 31 de octubre de 3 Portal del SIR Página 10 de 33

11 20/02/23 24, obteniendo que de un total de requerimientos de usuarios, el 92,5% fueron atendidos por la ACR, es decir requerimientos, los 989 restantes fueron atendidos por la firma Telebucaramanga, para mayor ilustración observar la siguiente gráfica: Ahora bien, de los requerimientos atendidos por la ACR, la mayor concentración se presentó en el SIR, con 7262 registros que equivalen al 59,17%, de los cuales 2528 fueron requerimientos de tipo Eliminar registro y 2167 del tipo Modificar registro. Con base en dicha información se analizó una muestra aleatoria de 22 requerimientos de los tipos Elimnar regitro y modificar registro, con un nivel de confianza del 95% y un error muestral del 14%, observando en términos generales lo siguientes resultados: - De once requerimientos relacionados con la eliminación de registros, siete son resultado de errores en el ingreso de la información. - De once requerimientos relacionados con la modificación de registros, siete son resultado de errores en el ingreso de la información. - De once requerimientos de eliminación de registros, seis son solicitados por el técnico sin previa autorización - De once requerimientos de modificación de registros, nueve son solicitados por el técnico sin previa autorización Teniendo en cuenta lo anterior se concluye que la mayoría de requerimientos de eliminación y modificación de registros, obedecen al ingreso equivocado de información en el SIR, lo que en consecuencia evidencia que: - El SIR cuenta con información que no es veraz. - Los controles de entrada, procesamiento y salida, son insuficientes - Se carece de lineamientos y controles efectivos para la administración y depuración de la información contenida en el SIR, por la indebida manipulación del sistema. - Se observó que la OTI realiza una labor operativa, ya que cuentan con una funcionalidad para realizar este tipo de modificaciones, lo que refleja la falta de madurez de la matriz de roles y responsabilidades, actividad Página 11 de 33

12 20/02/23 que debería estar en cabeza del propietario del sistema, para controlar la materialización de riesgos identificados y administrados por las áreas misionales, como por ejemplo el riesgo "información no confiable." Para mayor detalle se sugiere consultar el anexo 1 de este informe. Lo anterior, contraviene lo señalado en el artículo 3 de la ley 1712, en lo relacionado con la veracidad de la información, que señala: Toda información de interés público que sea producida, gestionada y difundida por el sujeto obligado, deberá ser oportuna, objetiva, veraz, completa, reutilizable, procesable y estar disponible en formatos accesibles para los solicitantes e interesados en ella, teniendo en cuenta los procedimientos de gestión documental de la respectiva entidad. También impacta el cumplimiento de lo determinado en el artículo 9, numeral 8 de la resolución 0043 de 24, en lo relacionado la integridad de la información, que cita: Propender por la integridad de los datos ingresados a los sistemas de información, generando alertas a las áreas responsables para que realicen actividades de depuración, capacitación y actualización de datos según sea la necesidad. Cabe mencionar que durante la ejecución de la auditoría, la OTI manifestó tener implementadas todas las reglas del negocio según lo requerido por las Oficina Asesora Jurídica, la Dirección Programática y la Secretaría General. Frente a los controles de autenticidad del SIR, la OTI informó que se basa en el sistema de autenticación del Directorio Activo de la ACR. Adicionalmente, se observó que se cuenta con el documento DescripcionRolesyPermisos_V , el cual se encuentra desactualizado. Se identificó el riesgo uso indebido de la información, por cuanto no se controlan los accesos al SIR, cuando el personal es reubicado entre las diferentes áreas de la entidad. Además, no se evidenció una política en el manual del sistema de seguridad de la información frente a esta situación. De otra parte, en lo relacionado con el mantenimiento del SIR, la Oficina de Tecnologías de la Información, comunicó que cuando se realizan mantenimientos a la plataforma SIR (CRM Dynamics) se diseña un plan de trabajo mediante la asignación de actividades y que dichos proyectos se controlan a través de la plataforma de colaboración para la administración del ciclo de vida del producto CRM de Microsoft Team Fundation Server. En cuanto al mantenimiento y actualización de los demás sistemas de información, es coordinada con las áreas administradoras funcionales y los proveedores de dichos sistemas. Analizados los soportes suministrados relacionados con el mantenimiento de los sistemas de información de la entidad, se logró evidenciar la falta de procedimientos documentados y formalmente establecidos que permitan determinar el alcance de los mantenimientos que se realizan a los sistemas de información, los responsables y la interacción con los administradores y proveedores de los sistemas adquiridos. Implementación de Servicios de intercambio de información La Oficina de Tecnologías de la información, comunicó que la implementación de los servicios de intercambio de información, se realizan teniendo en cuenta los siguientes lineamientos: Página 12 de 33

13 20/02/23 Todos los convenios de intercambio de información se soportan con convenio firmados entre entidades, con sus respectivos anexos técnicos (indican el medio para el intercambio, la periodicidad, los protocolos de seguridad y los campos a intercambiar.) Según lo establecido en la ACR, la responsabilidad de articular las entidades, reuniones y acuerdos es de la Subdirección de Gestión Legal de la Dirección Programática de Reintegración. Existen dos supervisores en cada convenio; el supervisor misional funcionario de la Subdirección Seguimiento y Monitoreo (DPR) - y el Supervisor técnico Coordinador del Grupo de Sistemas de Información (OTI) -. Como resultado de lo antes mencionado, se logró evidenciar la existencia de convenios interadministrativos de intercambio de información del SIR como se muestra a continuación: No. Conveni o Fecha ACR Institución /10/14 Agencia Colombiana para la Reintegración de personas y grupos alzados en armas. Instituto Nacional Penitencario y Carcelario - INPEC //14 Agencia Colombiana para la Reintegración de Ministerio de Educación Nacional personas y grupos alzados en armas //14 Agencia Colombiana para la Reintegración de Ministerio de Justicia y del Derecho personas y grupos alzados en armas. 10 5/12/13 Agencia Colombiana para la Reintegración de personas y grupos alzados en armas /05/13 Agencia Colombiana para la Reintegración de personas y grupos alzados en armas /04/13 Agencia Colombiana para la Reintegración de personas y grupos alzados en armas //13 Agencia Colombiana para la Reintegración de personas y grupos alzados en armas /12/12 Agencia Colombiana para la Reintegración de personas y grupos alzados en armas /11/12 Agencia Colombiana para la Reintegración de personas y grupos alzados en armas. Unidad Administrativa Especial Migración Colombia Consejo Superior de la Judicatura Ministerio de Defensa Nacional GAHD Instituto Nacional de Medicina Legal y Ciencias Forenses Centro de Memoría Histórica Registraduría Nacional del Estado Civil /10/12 Agencia Colombiana para la Reintegración de Unidad para la Atención y Reparación Integral personas y grupos alzados en armas. a las Víctimas 844 2/10/12 Agencia Colombiana para la Reintegración de Ministerio de Salud y Protección Social personas y grupos alzados en armas /12/11 DAPRE- Alta Consejería presidencial para la Instituto Colombiano de Bienestar Familiar Reintegración Social y Económica de Personas ICBF y Grupos Alzados en Armas /11/11 DAPRE- Alta Consejería presidencial para la Fiscalía General de la Nación Reintegración Social y Económica de Personas y Grupos Alzados en Armas /08/11 DAPRE- Alta Consejería presidencial para la Policía Nacional - PONAL Reintegración Social y Económica de Personas y Grupos Alzados en Armas /06/11 DAPRE- Alta Consejería presidencial para la Departamento Administrativo de Seguridad Reintegración Social y Económica de Personas DAS y Grupos Alzados en Armas Fuente Oficina de Tecnologías de la Información Finalización 31/12/16 31/12/17 31/12/15 31/12/15 31/12/14 30/04/15 31/12/15 31/12/15 30/11/15 31/12/15 31/10/17 31/12/14 31/12/14 31/12/16 31/12/11 En la actualidad la Oficina de Tecnologías de Información, se encuentra en etapa de pruebas con el Ministerio de Defensa para el intercambio de información a través de la Red de Alta Velocidad del Estado Colombiano. En cuanto al intercambio de información a con las demás instituciones, se realiza de conformidad con lo señalado en los anexos técnicos de los convenios. Página 13 de 33

14 20/02/23 SIPAS -Biométricos Durante la vigencia 21, se suscribió el contrato 994 de 21 entre la Agencia Colombiana para la Reintegración de Personas y Grupos Alzados en Armas ACR y COLVISTA SAS, el cual tuvo como objetivo: Analizar, diseñar, desarrollar e implementar una solución tecnológica integral llave en mano en la ciudad de Bogotá D.C. y a nivel nacional en los centros de servicios del DAPRE, que contenga los siguientes componentes: 1) Suministro de hardware; 2) Servicio de consultoría en implementación de software; 3)Servicio de comunicaciones; 4) Servicio de implementación de la solución, capacitación, soporte y garantía conforme a las especificaciones técnicas mínimas establecidas en el anexo No. 2 del pliego de condiciones, adendas y la propuesta presentada, las cuales hacen parte del contrato. Frente al servicio de soporte de los biométricos, la OTI informó que: Para el periodo comprendido entre julio a diciembre de 23, el proceso se encontraba tercerizado, como parte de la ejecución del contrato por medio del cual se adquirió el sistema SIPAS que incluyó los dispositivos biométricos. Para lo cual el contratista prestó el servicio de mesa de ayuda, en el registro de los incidentes presentados por los grupos territoriales frente a los componentes del proyecto incluidos los dispositivos biométricos. Como evidencia la OTI suministró el informe No. 0 generado por COLVISTA, correspondiente al período comprendido entre el 1 al 31 de diciembre de 22. En dicho informe se observa la clasificación de los incidentes por categoría y subcategoría, así como los incidentes atendidos por grupo de solución, el análisis de casos por ciudad, el estado de los incidentes, los casos de tipo identificados, la gestión de inventarios, garantías, riesgos identificados del servicio de soporte y garantía, riesgos materializados en el período y cumplimiento de los acuerdos de niveles de servicio (ANS). Adicionalmente se suministró durante la auditoría, un extracto del informe de ejecución del Plan de Servicios de soporte y garantía No. 12, elaborado por el contratista COLVISTA SAS y con corte a 9 de diciembre de 23, en el cual se puede observar lo siguiente: La distribución de un total de 451 dispositivos OPTICON. Un total de 2151 incidentes reportados entre diciembre de 22 y noviembre de 23, relacionados directamente con el soporte brindado al aplicativo SIPAS, al sistema operativo, a la configuración del sistema, al componente de comunicaciones y a los dispositivos móviles o hardware. Para el último mes de soporte, en cuanto al hardware, esto es equipos OPTICON H22, se cerraron 36 casos, quedando abiertos 68, es decir, que a diciembre de 23, se tenían 68 equipos con algún tipo de falla, los cuales se incluyeron como mantenimiento correctivo en la modificación No. 3 del contrato. La modificación No. 3, según informe de supervisión, se realizó a la forma de pago y valor de los pagos tercero y cuarto de la modificación No. 2. Se incluye el mantenimiento correctivo de 61 equipos y se liberan recursos de las vigencias 22 y 23. Se aclaró que dicha modificación no incluye modificaciones de prórroga ni adición. Concluido el contrato antes mencionado, durante la vigencia 24 el procedimiento pasa a ser responsabilidad de la entidad a través de la Oficina de Tecnologías de la Información. Al respecto, la OTI informó que el trámite de incidentes relacionados con los biométricos se encuentra detenido, teniendo en cuenta que la entidad no cuenta con la experticia, ni los laboratorios requeridos para atender este tipo de requerimientos. Además aclaró que realizó las actividades necesarias para la contratación del servicio soporte y mantenimiento de los dispositivos biométricos con el proveedor exclusivo en Colombia WM Wireless & Mobile, el cual fue Página 14 de 33

15 20/02/23 detenido a solicitud del canal proveedor -, por cuanto aduce inconvenientes externos con el proveedor que comprometían el cumplimiento del contrato. No obstante lo anterior y como plan de mejoramiento, la entidad a través de la oficina de tecnologías de la información, tomó la decisión de migrar de plataforma el sistema SIPAS, a Windows 8.1, teniendo en cuenta que: 1. El soporte al sistema operativo Windows Mobile 6.5, fue brindado por el fabricante hasta enero de 23. Ver Anexo Existe solo un representante - exclusivo para Colombia del fabricante Opticon no suscribió el contrato de soporte y mantenimiento. Ver Anexo La Entidad no cuenta con personal experto para el arreglo de dichos dispositivos, ni con las herramientas apropiadas para el mismo. La nueva versión del SIPAS, fue presentada a los usuarios en el mes de julio de 24 con los profesionales de la Dirección Programática de Reintegración y en la actualidad se encuentra en etapa de pruebas piloto en el centro de servicios de Kenedy, iniciando este viernes 14 de noviembre y hasta el 15 de diciembre de 24. Sistema Integrado de Gestión para la Reintegración - SIGER El Sistema Integrado de Gestión para la Reintegración SIGER, fue adquirido mediante el contrato de Compraventa número 694 de 23, el cual tiene por objeto, Contratar la adquisición, implementación, capacitación y soporte de un software para la administración del Sistema Integrado de Gestión para la Reintegración, de acuerdo con las especificaciones técnicas descritas en el anexo técnico y acorde con la propuesta presentada, documentos que hacen parte integral del presente contrato. Al respecto de esta adquisición, la Oficina de Tecnologías de la Información en cumplimiento de su función informática, según lo manifestado durante el proceso auditor, soportó técnicamente al usuario funcional, es decir a la Oficina de Planeación, preparando la infraestructura necesaria para la instalación, configuración, licenciamiento, actualizaciones, administración técnica, creación de perfiles, entrenamiento y durante el proceso de adquisición, revisaron y validaron los estudios previos. De cara a lo anterior, durante la ejecución de la auditoría no se logró evidenciar la existencia de procedimientos documentados y formalmente establecidos para la adquisición de sistemas de información, a partir de los cuales la entidad cuente con lineamientos, actividades base y responsables de las mismas, con el fin de controlar la adquisición de software informático. Procedimiento de Soporte a usuarios De otra parte, la OTI ha diseñado el procedimiento Soporte a usuarios, versión 02, el cual tiene como objetivo: Definir las actividades a realizar para atender los requerimientos de soporte tecnológico en la ACR. Una vez analizado el procedimiento suministrado por la oficina objeto de auditoría, se observó lo siguiente: - De acuerdo con lo establecido en la primera actividad, la entidad cuenta con cuatro canales dispuestos para el recibo de las solicitudes: Correo electrónico, llamada telefónica, registro web y solicitud verbal. Al respecto, durante el proceso auditor, no se logró identificar el canal web para el registro de las solicitudes, por tanto no puede determinarse como un medio de registro de la actividad. Página 15 de 33

16 20/02/23 - La actividad dos señala la existencia de tres niveles de servicio: Nivel 1. Soporte Telefónico Máximo 8 horas Nivel 2. Atención en sitio Máximo tres días Nivel 3. Atención especializada El tiempo de solución del inconveniente reportado dependerá de a gestión relativa a cada caso. Al verificar frente a la mesa de ayuda, se observó que las solicitudes pueden ser tramitadas como incidentes o como requerimientos. Dicha decisión no se observa en el procedimiento. Además, en la mesa de ayuda se observó la clasificación de incidentes de prioridad media o alta, mientras el procedimiento no contempla tal situación. - Los tiempos de atención señalados en el procedimiento, no coinciden con los programados en la herramienta, para atender las solicitudes. Dichas situaciones evidencian que las actividades, medios de comunicación y puntos de control, incluidos en el procedimiento de soporte a usuarios publicado en el SIGER, no reflejan el proceso realmente ejecutado por la Oficina de Tecnologías de la Información. Procedimiento Atención a requerimientos de Sistemas de Información Este procedimiento tiene por objetivo, establecer las actividades para atender todo tipo de requerimientos del sistema de información de la ACR. Para determinar el cumplimiento de este procedimiento, se procedió a realizar una verificación en sitio, tomando como muestra el requerimiento denominado como Plan de Trabajo Persona en Proceso de Reintegración, obteniendo los siguientes registros: - Documento de la solicitud, denominado como Estrategia para el seguimiento a la ejecución de los planes de trabajo concertados con las personas en proceso de reintegración. Fecha febrero de 24 - Documento de visión, que tiene como propósito analizar y definir el alcance de requerimientos, respecto de la gestión del seguimiento de actividades y compromisos acordados con las personas en proceso de reintegración con su correspondiente diagrama de contexto, diagrama de actividades y diagrama general de casos de uso. Fecha 28/02/24 - Acta No. 1 Análisis de requerimientos Plan de Trabajo PPR. Fecha 30/10/23 - Acta No. de seguimiento a los avances del requerimiento. Fecha 04/03/24 - Acta No. de seguimiento a los avances del requerimiento. Fecha 13/05/24 - Acta No de entrega de funcionalidades 06/06/24 - Acta No Continuidad en la definición y desarrollo del módulo de seguimiento de acuerdos del plan de trabajo del PPR. Fecha 13/08/24 - Instructivo SIR plan de trabajo de la PPR. Fecha 31/10/24 Es pertinente señalar que se utiliza la plataforma de colaboración para la administración del ciclo de vida del producto CRM de Microsoft Team Fundation Server para el control y seguimiento de los proyectos. Como resultado de la verificación realizada a la aplicación del procedimiento "Atención a requerimientos de sistemas de información", se evidenció que: Página 16 de 33

17 20/02/23 - El alcance se limita a los sistemas de información misionales y administrados por la OTI, relacionados con ajustes a las funcionalidades existentes o nuevos desarrollos. - No se establecen planes de trabajo que permitan determinar el inicio y fin de cada requerimiento. - La documentación establecida no se genera para todas las modificaciones realizadas a los sistemas. - El procedimiento no tiene establecidos todos los registros que verdaderamente se generan durante los desarrollos. - No se visualiza la interacción con la mesa de ayuda (Herramienta Service Manager). Además de lo anterior, durante la sesión de aclaraciones y verificaciones en desarrollo de la auditoría, se manifestaron por parte del área auditada, situaciones de desgaste administrativo en actividades y tareas solicitadas por las áreas pertenecientes en la ACR, que no cuentan con la planeación y estructura necesaria, de tal forma que una vez se realizan por parte de la OTI, su producto no es utilizado y no es útil para la administración, o se interrumpe su desarrollo por nuevas directrices. Dichas situaciones, reflejan la falta de controles para el desarrollo o mantenimiento de los sistemas de información de la entidad. Frente a las situaciones señaladas anteriormente, resultado de las verificaciones realizadas a los procedimientos de Soporte a usuarios y Atención a requerimientos de Sistemas de Información publicados en el SIGER de la Agencia, es pertinente tener en cuenta, que el elemento Modelo de Operación por procesos del MECI, determina que los procesos deben acomodarse a la realidad de las instituciones y no lo contrario, es decir, estos deben ser un espejo de las actividades que se llevan a cabo en la entidad. Además señala, que la forma en la que se realizan los procesos se puede evidenciar a través de procedimientos, entendidos estos como el conjunto de especificaciones, relaciones y ordenamiento de las tareas requeridas para cumplir con las actividades de un proceso, controlando las acciones que requiere la operación de la entidad publica. Establece los métodos para realizar las tareas, la asignación de responsabilidad y autoridad en la ejecución de las actividades. Esto convierte a los procedimientos en un control de la entidad encaminado a lograr que las actividades se desarrollen siguiendo una secuencia lógica, que permita que quien los realice pueda llevarlas a cabo de la misma manera en la que lo efectuaría cualquier otro servidor que siga lo descrito en el mismo. Este elemento se constituye en un estándar de control que establece los métodos o formas más eficientes y eficaces de operativizar las actividades de los procesos, permitiendo describir y comprender las relaciones entre áreas y flujos de información que se suceden en el proceso y la coordinación de las actividades. Los procedimientos establecidos a partir de las actividades definidas para cada proceso, regulan la forma de operación de los servidores de la entidad y permiten entender la dinámica requerida para el logro de los objetivos y la obtención efectiva de los productos o servicios. Políticas de Seguridad de la ACR La Agencia Colombiana Para La Reintegración de Personas y Grupos Alzados en Armas ACR, generó la primera versión del manual del Sistema de Gestión de Seguridad de la Información SGSI, en Diciembre De 23. Dicho manual tiene como objetivo 4, establecer las directrices y los lineamientos que permitan proteger los activos de información de la Agencia Colombiana para la Reintegración, frente a amenazas, internas o 4 Manual del Sistema de Gestión de Seguridad de la Información SGSI ACR Página 17 de 33

18 20/02/23 externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información. Su alcance se concentra en la Oficina de Tecnologías de la Información de la ACR, sus recursos y a la totalidad de sus procesos, ya sean internos o externos vinculados a la entidad a través de contratos o acuerdos con terceros y a su planta de colaboradores clasificados como Servidores Públicos, Contratistas, Empleados por Outsorcing, Personas naturales que prestan servicios independientes a la entidad, terceros, entidades de Control y entidades que tienen convenios de intercambio de información con la ACR. Para la adecuada dirección, implantación, gestión y mantenimiento del SGSI en la ACR se requiere la intervención del Comité Interinstitucional de Desarrollo Administrativo, el cual fue creado mediante Resolución No 829 del 25 de Julio de 23 y que está conformado por los siguientes servidores públicos: Un(a) delegado(a) del Director General El(a) Secretario(a) General El(a) Subdirector(a) Administrativo(a) y Financiero(a) El(a) Director(a) Programático(a) de Reintegración El(a) Jefe de la Oficina Asesora de Planeación El(a) Jefe de la Ofician de Tecnologías de la Información El(a) Jefe de la Oficina Asesora Jurídica Específicamente para el SGSI este comité debe: Definir y adoptar políticas para la gestión y tratamiento de los Riesgos de Seguridad de la Información. Definir y adoptar políticas para el desarrollo del Sistema de Gestión de la Seguridad de la Información (SGSI). Solicitar al Responsable de Seguridad de la Información el resultado del Estado del Sistema de Gestión de Seguridad de la Información Al respecto de lo anterior, la OTI manifestó que a través del Comité de Desarrollo Institucional, se creó la mesa de trabajo de seguridad, en la cual se asignó al Asesor de Seguridad y Estrategia de la Dirección General, como oficial de seguridad de la ACR, el cual incluye la seguridad de la información. En cuanto al Responsable de Seguridad Informática el citado manual define que tendrá a su cargo las funciones relativas a la Seguridad de la Información y el mantenimiento del Sistema de Gestión de Seguridad de la Información de la ACR. Específicamente para el SGSI debe: Revisar y proponer cambios sobre el Sistema de Gestión de la Seguridad y las funciones generales en materia de seguridad de la información. Identificar e informar los riesgos, amenazas o vulnerabilidades en los activos de información y monitorear cambios significativos sobre los mismos que afecten los recursos de información frente a las amenazas más importantes. Liderar la investigación y monitoreo de los incidentes relativos a la Seguridad de la Información. Evaluar y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios. Promover la difusión y apoyo de la seguridad de la información dentro de la ACR. Coordinar el proceso de administración de la continuidad de la operación de los sistemas de tratamiento de la información de la ACR frente a interrupciones imprevistas. Página 18 de 33

19 20/02/23 Frente a lo expuesto, la Oficina de Tecnologías de la Información, comunicó que el responsable de la seguridad informática es el Profesional Especializado en Seguridad Informática , el cual tiene las siguientes funciones de acuerdo con lo señalado en el manual de funciones de la entidad: Administrar y gestionar infraestructura tecnológica de comunicaciones y seguridad. Aplicar normas y controles de seguridad de la información. Prestar apoyo en análisis diseño e implementación de sistemas de información. Monitoreo constante de la funcionalidad y disponibilidad de plataformas. Al respecto, es pertinente analizar las funciones establecidas en el manual de funciones para el profesional especializado , de cara a la responsabilidades de seguridad informática, y realizar la alineación pertinente. Política de seguridad de la Información Durante el proceso auditor, se logró evidenciar que las políticas de Seguridad de la información son socializadas a los colaboradores de la entidad, a través de mecanismos, tales como el manual de seguridad de la información el cual se encuentra publicado en el SIGER, la cartilla de seguridad integral, que fue comunicada por correo electrónico y la ejecución del Plan de sensibilización del Sistema de gestión de seguridad de la información, el cual hace parte integral del plan operativo anual de la OTI. En cuanto a la identificaciones a las violaciones a las políticas procedimientos y controles de Seguridad de la Información, la Oficina de Tecnologías de la Información en cumplimento de su función, ha implementado controles para monitoreo y detección de eventos de seguridad los cuales quedan registrados en logs (base de datos FortiAnalizer) que generan informes estadísticos y detallados. Además de lo anterior, la OTI ha señalado tener implementados controles para proteger la información contra violaciones de autenticidad, accesos no autorizados, la pérdida de integridad y la disponibilidad, tales como, controles de autenticidad, conexiones a través de VPN, mecanismos de autenticación centralizado mediante directorio activo, encripción e Infraestructura de seguridad en alta disponibilidad (redundante), por citar algunos. Adicionalmente, la OTI informó que dependiendo la criticidad del evento se reporta al oficial de seguridad o a las autoridades competentes Políticas de Gestión de Activos El manual del SGSI, señala como política gestión de activos, lo siguiente: Establecer lineamientos para la identificación, clasificación y buen uso de los activos de información de la ACR, con el objetivo de garantizar su protección Inventario de Activos Los activos de la ACR deben ser identificados y controlados para garantizar el uso adecuado, protección y la recuperación ante desastres. La Oficina de Tecnologías de la Información se encargará de mantener y actualizar un inventario de activos de Información, Servicios de tecnología que presta a la entidad, Software, Hardware y Personas de la oficina. Página 19 de 33

20 20/02/23 El Grupo de Almacén e Inventarios, debe llevar el inventario valorizado de Hardware de propiedad de la ACR, discriminado por dependencias y según lo estipulado en el Manual para el manejo y control administrativo de los bienes de propiedad o a cargo de la entidad." De cara a lo anterior, la Oficina de Tecnologías de la Información, comunicó que existe el inventario de software licenciamiento y hardware, el cual es actualizado en el segundo semestre del año a través de: contratos suscritos, trámites de garantías y soportes, confirmación con grupos territoriales. Además se aclaró, que en la ACR no se realiza registro de ingreso al inventario de la entidad del licenciamiento adquirido y a la fecha no se han exigidos pólizas frente a herramientas tecnológicas. En cuanto al registro contable 5 de las licencias y software adquirido por la entidad, este se hace directamente al gasto en las cuentas o , dependiendo el tipo de gasto si es personal o de inversión, no se registra en el activo en la cuenta 1970, pues como no se espera un beneficio futuro no es susceptible de registro en la cuenta del activo, por lo que el control está a cargo de la OTI y no del almacén. No obstante, la OTI informa que se registra en la cuenta 1970 Intangibles licencias y software, directamente al gasto. En cuanto a la clasificación de la información, en el manual del SGSI se establece el modelo de clasificación, compuesto por los subsiguientes 4 niveles o categorías, así: Información Reservada Información Confidencial Información de Uso Interno Información Pública Frente al procedimiento de clasificación de la información, se comunicó durante el proceso auditor que se realiza a través de asesorías con el Ministerio de Tecnologías de la Información y las Comunicaciones, quien a través de la oficina de planeación de la ACR, envía la plantilla para registrar y actualizar la información. Por otra parte, en la actualidad no se han definido los procedimientos de etiquetado de la información, relacionados con el rotulado y manejo de información. Al respecto, se evidenció la matriz de responsabilidades de la mesa de seguridad de la información, en la cual se tiene programado entregar el plan de trabajo para lo relacionado con el etiquetado de la información el 30 de noviembre de 24. Al respecto de las responsabilidades establecidas para la OTI en el numeral del manual del sistema de gestión de la seguridad de la información, estas no son coherentes con las establecidas en el matriz de roles y responsabilidades suministrada durante el proceso auditor. Adicionalmente, se observó que para la gestión de activos de información, las acciones establecidas, los responsables y fechas de culminación no son coherentes con las señaladas en el mapa de riesgos del proceso objeto de auditoría. Política de la seguridad de los recursos humanos 5 Evidencia: Correo electrónico del 12/11/24 Subdirección Administrativa y Financiera Grupo de Contabilidad Página 20 de 33